{"id":10714,"date":"2025-05-19T13:24:38","date_gmt":"2025-05-19T19:24:38","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=10714"},"modified":"2025-05-19T13:24:39","modified_gmt":"2025-05-19T19:24:39","slug":"alerta-2025-43-falla-critica-en-nodejs","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-43-falla-critica-en-nodejs\/","title":{"rendered":"Alerta 2025-43- Falla Cr\u00edtica en NodeJS"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Node JS: versiones 20.x, 22.x, 23.x y 24.x.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se han reportado <strong>tres vulnerabilidades en el producto NodeJS, una de ellas marcada como importante,<\/strong> que podr\u00edan afectar seriamente la estabilidad y seguridad de las aplicaciones que usan este entorno de ejecuci\u00f3n. Las mismas fueron identificadas como: CVE-2025-23166 con score 7.5, CVE-2025-23167 con score 6.5 y CVE-2025-23165 con score 3.5<\/p>\n\n\n\n<p>Estas fallas pueden ser utilizadas por atacantes para <strong>bloquear servidores<\/strong>, <strong>saltarse controles de acceso<\/strong> o <strong>generar fugas de memoria<\/strong>, provocando interrupciones en servicios que dependen de Node.js.<\/p>\n\n\n\n<p>A continuaci\u00f3n se detallan las mismas:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CVE-2025-23166 \u2013 Falla cr\u00edtica en operaciones criptogr\u00e1ficas as\u00edncronas<\/li>\n<\/ul>\n\n\n\n<p>Un error en el manejo de entradas no confiables puede permitir a un atacante bloquear remotamente una aplicaci\u00f3n Node.js, afectando la disponibilidad del servicio (Denegaci\u00f3n de Servicio o DoS).<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CVE-2025-23167 \u2013 Vulnerabilidad en encabezados HTTP (contrabando de solicitudes)<\/li>\n<\/ul>\n\n\n\n<p>Una mala validaci\u00f3n de encabezados HTTP podr\u00eda permitir a los atacantes eludir controles de seguridad implementados a trav\u00e9s de proxies.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CVE-2025-23165 \u2013 Fuga de memoria en el sistema de archivos<\/li>\n<\/ul>\n\n\n\n<p>Una falla en la funci\u00f3n ReadFileUtf8 puede provocar un uso excesivo de memoria, lo que eventualmente lleva al sistema a fallar por agotamiento de recursos.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p><strong>El equipo de NodeJS ha publicado parches de seguridad que corrigen estas vulnerabilidades de acuerdo a la rama<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/nodejs.org\/en\/blog\/release\/v20.19.2\/\" target=\"_blank\" rel=\"noreferrer noopener\">Node.js v20.19.2<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/nodejs.org\/en\/blog\/release\/v22.15.1\/\" target=\"_blank\" rel=\"noreferrer noopener\">Node.js v22.15.1<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/nodejs.org\/en\/blog\/release\/v23.11.1\/\" target=\"_blank\" rel=\"noreferrer noopener\">Node.js v23.11.1<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/nodejs.org\/en\/blog\/release\/v24.0.2\" target=\"_blank\" rel=\"noreferrer noopener\">Node.js v24.0.2<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/feedly.com\/cve\/CVE-2025-23166\">https:\/\/feedly.com\/cve\/CVE-2025-23166<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/securityonline.info\/node-js-alerts-high-severity-flaw-cve-2025-23166-risks-remote-system-crashes-update-immediately\/\">https:\/\/securityonline.info\/node-js-alerts-high-severity-flaw-cve-2025-23166-risks-remote-system-crashes-update-immediately\/<\/a><\/li>\n\n\n\n<li>https:\/\/nodejs.org\/en\/blog\/vulnerability\/may-2025-security-releases<\/li>\n\n\n\n<li>https:\/\/nodejs.org\/es\/download<\/li>\n<\/ul>\n","protected":false},"featured_media":10715,"template":"","class_list":["post-10714","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10714","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10714\/revisions"}],"predecessor-version":[{"id":10717,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10714\/revisions\/10717"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10715"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10714"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}